相信是惡名昭彰Lazarus APT組織的「支部」的Andariel,透過惡意程式DTrack和Maui加密勒索程式攻擊世界各地的商業機構,而且一如Lazarus的作風,以金錢利益為目標,這次是透通過勒索的形式獲利。
Andariel的攻擊目標
根據Kaspersky專家的調查後得出一個結論,Andariel組織並沒有聚焦於特別的單一行業,他們可以攻擊任何機構,在今年6月,美國CISA報告Maui加密勒索主要針對美國的醫療保健和政府機構,然而Kaspersky偵測到至少有一個攻擊目標是日本的房地產公司,而且印度、越南和俄羅斯都有受害者。
Andariel的工具
Andariel組織的主要工具是存在已久的惡意程式DTrack,它能收集有關受害者的資料,然後傳送到遠程主機,它也會收集瀏覽器記錄並且儲存在另一個檔案內,其中被利用的變種更不單止收集資料經過HTTP傳送到網絡犯罪份子的伺服器,更儲存在受害者網絡內的遠程主機內。
當攻擊者發現值得注意的資料,加密勒索程式Maui便會開始運作,通常在DTrack惡意程式啟動後的10小時後發動,有研究人員認為加密勒索程式由背後的操作員人手控制,針對性對決定對哪些資料進行加密。另一個工具被攻擊者利用的是3Proxy,它是一款合法、免費的跨平台proxy伺服器,因為密量細少而吸引到攻擊者使用,這類型的工具可以用在維持遙距存取已入侵的電腦。
借公共服務散播惡意程式
網絡犯罪份子利用未補丁的公共網上服務,其中一個個案是惡意程式從HFS (HTTP檔案伺服器),攻擊者利用不明的漏洞令他們能夠從遙距伺服器上運行Powershell腳本,也有利用CVE-2017-10271安全漏洞去入侵WebLogic伺服器,更多技術詳情請瀏覽Securelist。
資料來源:Kaspersky Blog
